L’Autorità garante per la protezione dei dati personali ha espresso parere favorevole in merito al Regolamento emanato dalla Regione Veneto per disciplinare il funzionamento del Registro dialisi e trapianti (provvedimento n. 354 del 15 settembre 2016). Quest’ultimo, istituito con legge regionale 11/2010, raccoglie informazioni relative all’incidenza sulla popolazione di malattie renali croniche.

In particolare, il Registro tratta i dati anagrafici e sanitari di persone fisiche affette dalla predetta patologia “a fini di studio e ricerca scientifica in campo medico, biomedico ed epidemiologico”, così come stabilito dall’art. 18 della normativa di riferimento, che ne subordinava l’attuazione al parere positivo del Garante.

Le osservazioni formulate in ordine al provvedimento regionale concernono tre fondamentali aspetti: la titolarità dei dati, l’ambito di comunicazione degli stessi ed il rispetto dell’obbligo di rendere l’informativa all’interessato del trattamento.

In particolare, viene sottolineato come gli specialisti debbano inviare in via telematica e con cadenza annuale determinate informazioni al Registro, nell’ipotesi in cui venga diagnosticato un caso di malattia renale cronica. In tale eventualità ovviamente il paziente dovrà essere preventivamente informato della trasmissione dei dati, accessibili al responsabile scientifico del Registro ed al personale incaricato secondo precisi criteri di competenza, ovvero secondo regimi prefissati e calibrati in relazione al ruolo svolto da ciascun operatore.

Le informazioni acquisite, prive degli elementi identificativi, potranno poi, con il consenso dell’interessato, confluire nei Registri italiano ed europeo di dialisi e trapianto.

Ulteriore elemento caratterizzante è costituito dalla previsione dell’obbligo, in capo al responsabile del Registro, di segnalare immediatamente al Garante eventuali violazioni di dati, in ossequio a quanto disposto dalla stessa Autorità nel provvedimento 179/2015 ed in considerazione del fatto che la procedura del c.d. “data breach” rappresenterà un elemento cardine anche nel nuovo Regolamento europeo per la protezione dei dati personali.

Infine, l’Autorità ha sottolineato l’importanza di taluni aspetti, peraltro già integralmente recepiti dalle Amministrazioni coinvolte: tra questi, in primo luogo, rispettare in modo stringente il principio di necessità di cui all’art. 3 del Codice nella selezione delle informazioni da far confluire nel Registro; individuare precisamente le competenze di ciascun incaricato e conseguentemente le informazioni cui lo stesso è abilitato ad accedere; rendere l’informativa al paziente; garantire un adeguato livello di sicurezza dei dati trattati.